（计算机科学与技术专业论文）风险评估技术的研究与应用.pdf

国防科学技术大学研究生院学位论文 摘要 信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信 息系统的安全风险问题已从单纯的技术性问题变成事关国家安全的全球性问题，因此有必 要对信息系统的安全性进行评估。而对信息系统的风险评估，即脆弱性、信息系统面临的 威胁及其发生的可能性，以及脆弱性被威胁源利用后所产生的负面影响的评估，是信息系 统安全评估的基础。信息系统的安全风险评估结果对组织机构在信息安全措施的选择、信 息安全保障体系的建设等问题中做出合理的决策有重要的指导作用，是一个组织机构实现 信息系统安全的必要的步骤，可以使决策者对其业务信息系统的安全策略或安全实践有更 加深刻的认识。 国外对信息系统的风险评估已经由单纯的信息技术安全评估发展成为信息技术安全 评估和组织机构管理安全评估相结合的综合评估，并通过法规、标准手段加以保障，逐步 以此形成了横跨立法、行政、司法的完整的信息安全风险管理体系。而我国目前的风险评 估活动才剐刚起步，为了满足我国风险评估发展的需要，本文对信息系统安全风险评估进 行了以下几个方面的研究： 1 对国际信息系统安全风险评估的标准、方法和工具的发展进行研究，力求为国内 风险评估标准的制定、方法的提出和工具的研究提供一定的参考和依据； 2 对风险评估方法o c t a v e 进行了研究，并将定量风险分析方法应用于其中； 本文将o c t a v e 评估方法作为信息系统安全管理中风险评估的理论依据，并且 从评估实践需要的角度出发，加入了定量风险分析，通过对评估结果进行量化， 采用多属性决策分析的方法对风险发生的可能性和风险影响的综合指数进行定量 分析，指导风险消减计划的制定。通过实践表明，定量方法的引入有利于促进信 息安全风险评估工作者和组织机构内部人员更准确、更高效的评估风险； 3 设计并实现了基于o c t a v e 的风险评估辅助工具； 为了更好的完成风险评估工作，评估人员需要有合适的信息安全风险评估辅 助工具帮助收集风险评估所需要的信息和分析风险评估的结果。我国在风险评估 工具的开发方面还处于萌芽阶段，现有的风险评估工具大多是风险评估服务厂商 根据自身特点而设计开发的，缺少权威方法的支持，这与风险评估的社会需求形 成巨大的反差。本文设计并实现了基于o c t a v e 的风险评估辅助工具o r a s ( o c t a v e r i s ka s s e s s m e n ts y s t e m ) ，有利于提高信息系统安全风险评估工作的效率和结 果的正确性，为我国开发具有自主知识产权的风险评估工具进行了有意义的尝试； 4 对安全评估准则c c ( i s 0 i e c l 5 4 0 8 ) 进行了深入研究，并对其辅助工具c c t o o l b o x 进行了改进； 第1 页 国防科学技术大学研究生院学位论文 安全风险评估研究为风险管理提供支持。风险消减计划制定过程中，往往需 要增加安全控制措施并对安全产品进行选择和评价。对信息安全产品的评估能够 为产品的选择提供可靠的依据，也为信息系统安全奠定了基础。因为，选用通过 评估和认证的安全产品来构建信息系统，是确保系统运营单位或组织的信息资产 安全的关键。本文迸一步对信息安全评估准则c c ( i s o i e c l 5 4 0 8 ) 进行了深入研究， 并对其辅助工具c ct o o l b o x 进行了改进，有助于生产方基于c c 标准进行安全产 品的设计和生产。 【关键词】信息安全风险评估o c t a v e 多目标决策分析c ct o o l b o x 第1 i 页 国防科学技术大学研究生院学位论文 a b s t r a c t t h eh i 曲l yd y n a m i cn a t u r eo ft h ei te n v i r o n m e n tc r e a t e san e a r l yi n f i n i t es e to fr i s k s h o w d o e st h em a n a g e m e n te s t a b l i s ha n dt r a c ka ni n f o r m a t i o ns y s t e ms e c u r i t yw h e nr i s k sa r er e a l ， r i s k sa r en e a r l yi n f i n i t e ，t h ei n f o r m a t i o ne n v i r o n m e n ti sh i g h l yd y n a m i c ，a n dr e s o u r c e sa r ef i n i t e ? a f t e ra l l ，n o n eo fu sh a v eu n l i m i t e dr e s o u r c e s t h es c e n a r i oo fu n l i m i t e da n dc h a n 百n gt h r e a t s a n dl i m i t e dr e s o u r c e sm a k e si ti m p o s s i b l et oa v o i da l lr i s k s r a t h e re a c ho r g a n i z a t i o nm u s t t a k ea na p p r o a c ht h a t1 e t si tp r i o r i t i z er i s k sa n de n a b l e si tt om a k ew e l lr e a s o n e dd e c i s i o n sf o rt h e a p p l i c a t i o no fi n f o r m a t i o ns e c u r i t yr e s o u r c e s t h es e c u r i t yr i s ka s s e s s m e n tt e c h n o l o g yi sa d o p t e d t oa n a l y z et h es y s t e mt h r e a t s ，i d e n t i f yt h er i s k s ，a n dp u tf o r w a r ds e c u r i t yc o u n t e r m e a s u r e st o i m p r o v et h ea s s e s s e di n f o r m a t i o ns y s t e m a sr i s ka s s e s s m e n ti sa ni m p o r t a n tc o m p o n e n to fr i s km a n a g e m e n to fi n f o r m a t i o ns y s t e m ，i t h a sb e e ns t u d i e di nt h e s ea r e a s ： 1 t h ec u r r e n tr e s u l t so fr e s e a r c hi nr i s ka s s e s s m e n ta r e a ss u c ha sr i s ka s s e s s m e n tc r i t e r i a ， m e t h o d sa n dt o o l sb o t hi n l a n da n do v e r s e a sh a v eb e e ns t u d i e d 2 n ea u t h o rh a sb e e ne n g a g e di nt h er e s e a r c ho no c t a v e t ma p p r o a c h ，a n da p p h e st h e q u a n t i t a t i v er i s ka n a l y s i st oi tt og e tt h em o r ed e t a i l e da n dh e l p f u la s s e s s m e n tr e s u l t s a n d t h ea p p l i c a t i o n so ft h ei m p r o v e dr i s ka s s e s s m e n tm e t h o ds h o wt h es a t i s f a c t i o no ft h e a s s e s s m e n ta n a l y s t sa n dv a l i d a t et h es i g n i f i c a n c eo ft h ei m p r o v e m e n t 3 t h i sp a p e ri n t r o d u c e st h ed e s i g na n di m p l e m e n t a t i o no ft h eo c t a v er i s ka s s e s s m e n t s y s t e m ( o r a s ) b a s e do nt h em e t h o dp r o p o s e di nc h a p t e r3 t h ea s s i s t a n c es y s t e mc o u l d h e l pt h eo r g a n i z a t i o nm a n a g e r st oe v a l u a t et h ei n f o r m a t i o ns y s t e ma n dg i v et h er e a s o n a b l e a n de f f i c i e n ti m p r o v e m e n ta d v i c e so nr i s km a n a g e m e n t 4 f u r t h e r m o r e ，t h i sp a p e rs y n t h e t i c a l l yi n t r o d u c e st h ec o m m o nc r i t e r i af o ri ts e c u r i t y e v a l u a t i o n0 s o m c l 5 4 0 8 ) a n dt h ea s s i s t a n te v a l u a t i o nt o o l c ct o o l b o x t h ew o r k i n g f l o wa n dt h eo p e r a t i n gd e t a i l so fc ct o o l b o xa r ep r e s e n t e d a tl a s t ，s o m ei m p r o v e m e n to n t h ec ct o o l b o xl sp r o v i d e d k e y w o r d s ：i n f o r m a t i o ns e c u r i t y ，r i s ka s s e s s m e n t ，o c t a v ea p p r o a c h ，m u l t i p l eo b j e c t i v e d e c i s i o nm a k i n g , c ct o o l b o x 第1 i i 页 国防科学技术大学研究生院学位论文 图索弓 风险评估各因素的关系模型3 风险评估的一般流程4 论文的组织结构图1 2 o c t a v e 的评估过程和输出1 5 使用网络方式访问资产的人的通用威胁轮廓1 6 使用网络方式访问资产的人的通用风险轮廓1 7 定量风险分析层次结构1 9 资产评估用例图2 3 安全实践评估用例图2 4 关键组件评估用例圈2 4 风险分析用例图2 5 o r a s 的体系结构图2 5 o r a s 的系统流程圈2 6 标识组织知识于模块结构图2 7 威胁轮廓村的原型图2 9 数据库关系图( 部分1 ) 一3 2 数据库关系图( 部分2 ) 3 4 数据库关系图( 部分3 ) 3 5 模糊矩阵的生成和计算界面图3 8 评估属性填写界面图。4 3 标识组织知识于模块界面图4 4 资产一威胁分析子模块界面图一4 5 组件评估子模块界面图4 6 风险分析予模块界面图4 7 医药电子贸易系统网络拓扑图5 0 关键资产信息输出结果图5 2 安全实践调查结果分析输出界面图5 2 客户信息管理系统威胁轮廓图5 3 参评组件评估结果分析输出界面图5 4 威胁的影响值的输入界面图5 4 威胁综合指数值输出界面图5 5 威胁风险值输出界面图5 5 c c 的发展历程5 8 p p 或s t 报告内容图6 0 安全目标一环境参数映射关系图6 0 第i v 页 h 心h 批粥m h 抛鹋她撕h m挑州蛳邺弛附m她 图图图雕图图图圈图图图图图图图图图图图图图图圈图图图图图图图图图图图瞬 国防科学技术人学研究生院学位论文 图6 - 4 安全目标一安全要求映射关系图6 1 图6 - 5 预定义数据中包含的内容6 2 图6 - 6e n v i r o n 删ii n t e r v i e w 界面6 3 图6 7 反查思路过程图6 5 第v 觅 国防科学妓术大学研究生院学位论文 表察引 表1 1国际上风险评估研究的第二阶段代表事件表5 表2 1 关键组件及其技术弱点表1 6 表2 2o c t a v e 的风险评价标准1 7 表2 3 判断矩阵的标度含义2 ( 】 表3 1 模糊标度符号代表的含义袁2 9 表4 1资产表的数据结构3 3 表4 2 资产威胁区域表的数据结构3 3 表43 威胁轮廓表的数据结构3 3 表4 4 威胁影响领域评价标准表的数据结构3 3 表4 5 威胁影响领域表的数据结构3 4 表4 6 安全实践调查原型表 3 4 表4 7 安全实践调查表的数据结构3 5 表4 8 参评基础组件评价标准袁的数据结构3 6 表49 参评基础组件表的数据结构3 6 表4 1 l 模糊标度符号的取值范围映射表3 6 表5 】风险评估小组成员表5 1 表5 2 弱点严重程度评价标准表5 3 表5 3 评估小组安全等级划分标准表5 3 表5 4 影响评价标准表5 4 表6 1e a l 2 级的安全认证要求6 4 第v 1 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同j - 作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目：题堕迁毡垫苤煎壁塑当廑周 学位论文作者签名： 童! i 笙日期：a 。扩4 年，月f 弓日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阔和借阅；可以将学位论文的垒部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题日： 丛险竖丝撞盛些叠峦当廛厦 学位论文作者签名： 列簦日期：w 口乒年，j 月i ；日 作者指导教师签名：碰日期：啤旧月? 车日 国防科学技术大学研究生院学位论文 第1 章绪论 随着以计算机和网络通信为代表的信息技术迅猛发展，现代政府部门、金融机构、企 事业单位和商业组织对信息系统的依赖日益加重，信息技术几乎渗透到了世界各地和社会 生活的方方面面。当前组织机构的正常运行高度依赖信息系统，信息系统的安全性变得越 来越重要，其所承载的信息和服务在保密性、完整性、可用性、可控性等方面一旦出现缺 陷，都将给组织机构带来严重的负面影响。 信息系统是指用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织 结构、人员和组件的总和 “。信息系统包括了两方面的内容：信息技术系统和系统运行环 境。信息技术系统作为信息系统的一部分是指执行组织机构信息功能的，用于采集、创 建、通信、计算、分发、处理、存储和控制数据或信息的计算机硬件、软件或固件的组合。 而系统运行环境包括人、管理和物理环境。信息系统是在信息技术系统的基础上，综合考 虑了人员、管理等系统综合运行环境的一个整体。 信息系统的安全通常指对其承载的信息和服务在保密性、完整挂和可用性三方面的保 护。信息技术安全评估标准( i n f o r m a t i o nt e c h n o l o g ys e c u r i t ye v a l u a t i o nc r i t e r i a ，i t s e c ) t 2 1 对保密性、完整性和可用性的定义如下： 保密性( c o n f i d e n t i a l i t y ) 一确保信息在存储、使用、传输过程中不会泄漏给非授 权用户或实体。 完整性( i n t e g f i t y ) 一确保信息在存储、使用、传输过程中不会被非授权用户篡改， 同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示 的一致性。 可用性( a v a i l a b i l i t y ) 一确保授权用户或实体对信息及资源的正常使用不会被异 常拒绝，允许其可靠且及时地访问信息及资源。 信息系统安全的风险评估是依据国家有关的政策法规及信息技术标准，对信息系统及 由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综 合评估的活动过程。风险评估包括对信息系统的脆弱性、信息系统面临的威胁及其发生的 可能性，以及脆弱性被威胁源利用后所产生的负面影响的评估，并根据安全事件发生的可 能性和负面影响的程度来标识信息系统的安全风险吼 1 1 风险评估研究的目的和意义 信息系统的安全问题己从单纯的技术性问题变成事关国家安全的全球性问题。如何判 断信息系统是否满足安全需求，如何科学地加强安全管理已到了迫在眉睫的时刻。因此科 第1 页 国防科学技术大学研究生院学位论文 学地评估信息系统的安全性十分必要，是所有涉及信息系统安全的研究面临的重要课题。 同时，随着信息系统复杂性的增加和攻击方法的发展，系统安全性评估成了个更具有挑 战性和不断发展的技术 4 。 一个信息系统中既包含着大量的信息以及由若干信息产品组合成的具有特定功能的 通用系统，也要受到系统中管理模块的支持，还要与“人”发生交互作用，构成一个人机系 统。此时的安全不再专指技术安全，还包括了管理领域的安全措施，亦即，信息系统安全 由技术和管理两方面来保障，并要依靠人的主观能动性来实施安全措施。这时，信息系统 的安全已经不再局限于一个空间和时间上的点，而是涵盖了技术安全和管理安全，需要全 面的信息保障概念来实现【5 l 。因此，系统安全的评估还必须体现出对空间延拓和时间发展 的考虑，于是，信息系统评估最终都包含或完全采用了一套新的方法学基于风险的评 估，即风险评估川。 通过风险评估能够清楚信息系统的安全需求，了解信息系统的脆弱性，从而为达到信 息安全建设的最终目的满足信息系统的安全需求和降低信息系统的安全风险提 供必要的依据。因此，只有在风险评估中正确地、全面地了解和理解信息系统的安全风险， 组织机构才能在信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决 策。 风险评估目前已经成为国际上考察信息系统安全性的通用方法，一些国家已经据此成 立了系统安全认证过程，比如美国的“国家信息保障认证和批准过程”【4 l 。 加强风险评估工作也是我国当前信息安全工作的客观需要和紧迫需求。由于信息技术 的飞速发展，我国关系国计民生的关键信息基础设施的规模越来越大，使得系统的复杂性 也极大地增加。针对我国目前的信息系统发展的现状，为加强宏观信息安全管理，促进信 息安全保障体系建设，就必须加强风险评估工作，并通过法规、标准手段加以保障，逐步 使风险评估工作朝向规范化和制度化的方向发展。 1 2 风险评估的基本理论 1 2 1 风险评估的概念 信息系统安全风险评估( r i s ka s s e s s m e n t ) 是依据国家有关的政策法规及信息技术标 准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进 行科学、公正的综合评估的活动过程。风险评估要求对信息系统的脆弱性、信息系统面临 的威胁以及脆弱性被威胁源利用后所产生的实际负面影响进行评估，并根据安全事件发生 的可能性和负面影响的程度来识别信息系统的安全风险吼 第2 页 国防科学技术大学研究生院学位论文 1 2 2 风险评估的关系模型 风险评估的出发点是对与风险有关的各因素的确认和分析。如下模型表示了各因素的 关系 3 2 】： 图l - l 风险评估各因素的关系模型 图中的箭头及说明对信息安全风险相关的各类因素之间的关系做了阐述。这些因素之 间的主要关系对风险评估的实施方法很重要，概述如下： 威胁和脆弱性因素都将导致风险增加，资产拥有的价值越大其可能存在的风险也 越大，而安全措施则用来降低风险。 威胁因索产生和增加风险的过程是：利用系统中的脆弱性实施攻击( 或其他破坏) ， 从而对资产的价值造成不利影响，从而产生和增加安全风险。 脆弱性对风险的增加只能通过威胁对其利用的过程来完成。 安全需求的引出来自于安全风险，这体现了认识和确定风险的意义所在。安全措 施的目的就是满足安全需求，从而降低风险。这种降低是通过抗击威胁来实现的。 由此可以看出威胁和脆弱性增加风险的方式是不同的，对于信息系统内的资产来说， 威胁是外部因素，而脆弱性则为系统自身所有，它们相当于矛盾的内因和外因。 1 2 3 风险评估的一般流程 信息系统安全的风险评估是组织机构确定信息安全需求的过程，包括资产识别与评 价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。风险评估的般流程 如图卜2 所示： 第3 页 国防科学技术大学研究生院学位论文 厂j l 、 l 苎童塞叁翌! ! 一夕 图i - 2 风险评估的一般流程 组织机构在正式进行风险评估活动之前，应该做好风险评估的准备活动，包括明确风 险评估的目标，限定评估的范围，确定评估小组的成员等。 通过准备阶段收集到的信息，评估小组将划入风险评估范围和边界内的资产进行确认 和评估。识别并评价资产之后，组织机构应该根据资产目前所处的环境条件和以前的记录 情况来识别每项资产可能面临的威胁。威胁只有利用了特定的弱点才能对资产造成影响， 因此组织机构必须通过各种审计报告、事件报告、系统测试针等途径，对每一项需要保护 的信息资产，找到可能被威胁利用的弱点并对其进行评估。现有的安全措施也是威胁事件 发生的决定因素之一。识别组织机构已有的安全措施，分析安全措旌的效果，确定威胁利 用弱点的实际可能性，可以指出当前安全措施的不足，引导组织机构制定有效的安全措施 计划。 在识别了资产、威胁、弱点和安全措施四个要素之后，开始评价组织机构的风险。评 价组织机构的风险主要是对两个关键因素威胁发生的可能性和威胁发生可能造成的 影响的评价。评估者根据威胁评估、弱点评估和现有的安全措旖评估三者相结合，通 过定性或定量的分析方法得出这两个关键因素的评价结果。 风险评价结束之后，评估者根据评价的结果向组织机构推荐安全对策，使得组织机构 的管理决策者可以根据组织机构本身的经济情况和业务需求，合理选择并实施推荐的安全 对策。 第4 页 国防科学技术大学研究生院学位论文 1 3 国内外风险评估研究的发展 1 3 1 国外风险评估研究的发展 风险评估理论应用于信息安全领域始于2 0 世纪6 0 年代。此后，信息安全风险管理的 实践和理论的发展大体上经过了三个阶段： 第一阶段( 2 0 世纪6 0 年代至8 0 年代) ：信息安全风险管理实践与理论发展的初期阶 段。 2 0 世纪6 0 年代，随着资源共享计算机系统和早期计算机网络的出现，计算机安全问 题初步显露。1 9 6 7 年秋，美国国防部委托兰德公司为首的多个研究机构和企业，进行了美 国历史上第一次大规模的计算机安全风险评估，历时三年。】9 7 0 年初出版了一个长达数百 页的机密报告计算机安全控制。该报告奠定了国际安全风险评估的理论基础。在此基 础上，美国率先推出了首批关于信息安全风险管理及相关的安全评测标准。包括f i p sp u b 3 1 自动数据处理系统物理安全和风险管理指南( 1 9 7 4 年) ；f i p sp u b6 5 自动数据处理系 统风险分析指南( 1 9 7 9 年) ，可信计算机系统安全评估准则( t c s e c ) 、可信网络解 释( t n i ) 、特定环境下的安全需求等等。这个阶段的信息安全仅针对计算机系统 的保密性问题提出要求，对安全的风险评估只限于保密性范畴。 第二阶段( 2 0 世纪8 0 年代末至9 0 年代中期) ：是信息安全风险管理实践和理论走向 初步成熟的阶段。 这个阶段以计算机和网络为保护对象的信息安全保护的对象。世界各国都纷纷进行信 息安全风险评估的研究，并取得一定的成果。其中较为有代表性的事件如下表所示： 表1 1国际上风险评估研究的第二阶段代表事件表 时间组织事件 1 9 9 0 美国建立了信息安全事件应急国际论坛( f i r s t ) 1 9 9 0 英、法、德、荷制定了共同的信息技术安全评估标准( i t s e c ) 1 9 9 2 美国国防部建立了漏洞分析与评估计划 1 9 9 3 美、英等六国启动了建立共同评测标准( 即后来的c c 标准) 的计划。 对美国国防系统的信息系统进行了大规模风险评估，并发表 1 9 9 5 1 9 9 6 美国总审计局 报告信息安全一针对国防部的计算机攻击正构成曰益增大 的风险 1 9 9 5 英国标准化协会颁布了信息安全管理指南( b s7 7 9 9 ) 1 6 4 1 澳大利亚新西兰 1 9 9 5 颁布风险管理标准a s n z s 4 3 6 0 风险管理准则联 第5 页 国防科学技术火学研究生院学位论文 合委员会 加拿大风险管理 1 9 9 7 颁布了风险管理：决策者的指导( a n c s a q 8 5 0 9 7 ) 3 1 。 准则委员会 等等 这个阶段，人们逐步认识到信息除了保密性以外还有完整性、可用性等更多的安全属 性，希望通过对安全产品的质量保证和安全评测来保障系统安全，并且开始对信息系统管 理方面的风险评估进行研究。 第三阶段( 2 0 世纪9 0 年代中一现在) ：风险评估实践与理论进入全球化阶段。 由于9 0 年代以来因特网、移动通信和跨国光缆的高速发展，各国原本局限于本国内 的信息网络迅速跨越国境连成一片。与此同时，信息安全也成为世界各国面临的共同挑战。 在共同需求的驱动下，1 9 9 6 年国际标准组织发布了i s o i e ct r1 3 3 3 5 标准即信息 技术安全管理指南。1 9 9 9 年发布了i s 0 i e c l 5 4 0 8 标准即信息技术安全评估共同准则 ( c c 标准) 。2 0 0 0 年又发布了i s 0 i e c l 7 7 7 9 9 即信息技术信息安全管理实用规则。 国际标准的出台，反过来又推动了各国自身风险管理标准研发的进程。例如美国，从 9 0 年代末开始，在风险管理相关标准的制定上掀起了一个新高潮，仅n i s t ( 美国国家标 准与技术局) 近几年制定的与风险管理相关的标准就达十多个。 国外风险评估的研究的深入，在实践中完全手动评估已经不能满足风险评估实践活动 的需要。为了提高信息安全风险评估工作的效率和结果的正确性，风险评估的研究人员研 制开发了大量的工具，对风险评估活动进行辅助工作。现在国际上常见的评估工具有： c o b r a c o b r a ( c o n s u l t a t i v e ，o b j e c d v ea n db i f u n c t i o n a lr i s ka r i a l y s i s ) 2 2 】 是英国c & a 系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采 集和分析数据，并对组织机构的风险进行定性分析，最终的评估报告中包含已识 别风险的水平和推荐措施。此外，c o b r a 还支持基于知识的评估方法，可以将组 织机构的安全现状与i s o1 7 7 9 9 标准相比较，从中找出差距，提出弥补措施。 c r a m m c r a m m ( c c r ar i s ka n a l y s i sa n dm a n a g e m e n tm e t h o d ) 2 3 】是由英 国政府的中央计算机与电信局( c e n t r a lc o m p u t e r a n dt e l e c o m m u n i c a t i o n s a g e n c v c c t a ) 于1 9 8 5 年开发的一种定量风险分析工具，同时支持定性分析。经过多次 版本更新( 现在是第四版) ，目前由i n s i g h t 咨询公司负责管理和授权。c r a m m 是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的 信息系统和网络，也可以在信息系统生命周期的各个阶段使用。c r a m m 的安全 模型数据库基于著名的“资产威胁弱点”模型。c r a m m 与b s7 7 9 9 标准保持一致， 它提供的可供选择的安全控制多达3 0 0 0 个。 。a s s e 卜- a s s e t ( a u t o m a t e ds e c u r i t ys e l f - e v a l u a t i o nt 0 0 1 ) t 2 4 1 是美国国家标准 技术协会( n a t i o n a li n s t i t u t eo fs t a n d a r da n dt e c h n o l o g y ，n i s t ) 发布的一个可用来 第6 页 国防科学技术大学研究生院学位论文 进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用 问卷方式来评估系统安全现状与n i s ts p8 0 0 2 6 指南之间的差距。 c o r a 一c o r a ( c o s t o f - r i s k a n a l y s i s ) 1 2 5 是由国际安全技术公司( i n t e r n a t i o n a l s e c u f i t vt e c h n o l o g y ) 开发的一种风险管理决策支持系统，它采用典型的定量分析 方法，可以方便的采集、组织、分析并存储风险数据，为组织机构的风险管理决 策支持提供准确的依据。 c o r a s c o r a s ( p l a t f o r mf o rr i s ka n a l y s i so fs e c u r i t yc r i t i c a ls y s t e m s ) ”是 由希腊、德国、英国、挪威等国的多家商业公司和研究机构于2 0 0 1 年1 月开始共 同组织开发的一个项目。该项目的目的是开发一个基于面向对象建模特别是u m l 技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是 i t 系统的安全。c o r a s 考虑到技术、人员以及所有与组织机构安全相关的方面， 通过c o r a s 风险评估，组织机构可以定义、获取并维护信息系统的保密性、完 整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。 随着风险评估标准的发展，风险评估辅助工具的优化，风险评估的涉及的范围也在扩 大，由原来单纯的安全技术评估发展到技术与管理兼顾的综合化评估。技术评估是指对组 织机构的技术基础结构和程序进行系统的、及时的检查，包括对组织机构内部计算环境的 安全性及其对内外攻击脆弱性的完整性攻击。这些技术驱动的评估通常包括： ( 1 ) 评估 整个信息系统的基础结构。 ( 2 ) 使用已有的软件工具分析基础结构及其全部组件。 ( 3 ) 提供详细的分析报告，说明检测到的技术弱点，并尽可能为解决这些弱点建议具体的话施。 技术评估就是通常意义上所讲的技术脆弱性评估，强调组织机构的技术脆弱性，即组织机 构内安全最薄弱的技术环节。该方法的典型代表就是，利用脆弱性评估工具和渗透性测试 工具等基础安全设施评估工具，查找出信息系统安全的技术弱点并进行评估。 综合评估着眼于分析组织机构内部与安全相关的风险，包括内部和外部的风险源、技 术基础和组织结构以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动 程序或者目标对安全风险进行排列，关注的焦点主要集中在安全的以下4 个方面； ( 1 ) 检查与安全相关的组织实践，标识当前安全实践的优点和弱点。这一程序可能包括对信息 进行比较分析，根据工业标准和最佳实践对信息进行等级评定。( 2 ) 包括对系统进行技 术分析、对政策进行评审、以及对物理安全进行审查。( 3 ) 检查1 1 r 的基础结构，以确定 技术上的弱点。包括恶意代码的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问 权限和特权的未授权变更等。( 4 ) 帮助决策制定者综合平衡风险，以选择成本效益对策。 该方法的典型代表是卡内基梅隆大学的s e i 发布了o c t a v e 信息安全风险评估方法【1 2 】。 综上所述，国际上信息安全风险评估经历了一个从只重技术到技术、管理并重的全面 评估，从单机到网络再到信息系统基础设施，从单一安全属性到多种安全属性的发展过程。 随着风险评估理论和评估技术的不断深化完善，信息系统的安全风险评估已经有了相当大 第7 页 国防科学技术大学研究生院学位论文 的发展，但是由于各国的标准和评估工具的不统一，国际上信息系统的安全风险评估的认 证工作很难达到一致，以至于认证结果还存在很大的地区差异，因而风险评估在理论和实 现技术上都有待进一步的提高。 1 3 2 国内风险评估研究的现状和问题 9 0 年代后，互联网在我国得到了广泛的社会化应用，国际大环境的信息安全问题和信 息战的威胁也对我国的信息安全造成了重大影响，使我国清楚的认识到信息安全问题的重 要性和严肃性。随着对信息安全问题认识的逐步提高，我国的信息系统安全风险评估工作 在不断的发展。首先是信息安全意识上的转变，由开始的追求绝对安全的错误意识，发 展为降低信息系统的风险到可接受程度的风险意识上，并逐步有所加强：其次，安全实践 工作也在不断的强化，包括安全测评认证机构的建立和完善，安全评估相关技术标准和管 理规范的初步制定和完备等一系列实践活动。 1 9 9 4 年2 月，我国颁布了中华人民共和国计算机信息系统安全保护条例 2 7 1 ，提出 了计算机信息系统实行安全等级保护的要求。安全等级保护的总体目标是确保信息安全和 计算机信息系统正常运行，并保障以下安全特性：信息的完整性、可用性、保密性、抗抵 赖性、可控性等( 其中完整性、可用性、保密性为基本安全特性要求) 。指出我国计算机 信息系统安全的重点保护对象是国家重要领域的计算机信息系统，即事关国计民生的国家 信息基础设施、互联网管理中心及重要网站的安全，目的在于安全保护工作中实现等级化 规范化的建设和有效的监督管理。 1 9 9 9 年，公安部颁发计算机信息系统安全保护等级划分准则 ( g b 1 7 8 5 9 1 9 9 9 ) ，以这个强制性国家标准为母体，一套包括总体控制( 框架类标准) 、 设计和实现的过程控制( 要求类标准) 、设计和实现的结果控制( 评估类标准) 、计算机 信息系统分层面安全控制以及安全监督管理的数十个配套标准正在紧锣密鼓地研究制定， 即将陆续出台。另外，2 0 0 1 年我国还颁布了援引c c 的g b f f1 8 3 3 6 2 0 0 1 ，作为我国安全 产品测评的标准。 1 9 9 9 年2 月9 曰，我国正式成立了中国国家信息安全测评认证中心【3 j o 到这个阶段， 我国在国家标准g b1 7 8 5 9 1 9 9 9 和g b t1 8 3 3 6 2 0 0 1 的指导下，进行了大量的安全产品的 功能评测，并逐步向安全产品的性鼢评测、安全性评测发展。然而基于有关部门的工作实 践和社会的需求，国际风险评估研究工作的发展，我国安全部门逐步认识到，仅仅进行安 全产品的测评认证不能解决信息系统的安全问题。因此，国家测评认证机构开始把信息系 统的安全测评纳入自己的工作范畴，风险评估作为系统安全评估的一个环节，也被纳入其 中。其后，国内信息安全风险意识不断加强，由原来追求绝对安全、万无一失的信息环境 逐渐向追求降低风险到系统可接受程度的方向上转化。我国的风险评估标准的制定也成为 第8 页 国防科学技术大学研究生院学位论文 国家信息系统安全研究的重点之一。 2 0 0 2 年4 月1 5 日全国信息安全标准化技术委员会( 简称信息安全标委会，t c 2 6 0 ) 【2 9 l 在北京正式成立。其工作任务是向国家标准化委员会提出专业标准化工作的方针、政策和 技术措施的建议，同时协调各有关部门，本着平等、公开、协商的原则提出一套系统、全 面、分布合理的信息安全标准体系，以信息安全标准体系为工作依据，有步骤、有计划地 进行信息安全标准的制定工作。现在信息安全标委会的信息安全评估工作组( w g 5 ) 正在 积极准备信息系统安全保障等级评估准则、信息系统安全等级保护安全风险管理要 求、保护轮廓和安全目标的产生指南等一系列的评估标准的制定和研究。 2 0 0 2 年9 月在国家信息中心信息安全处的基础上，组建成立了国家信息中心信息安全 研究与服务中心。该中心参与完成国家标准信息安全技术评估准则1 3 0 】的制定，参加了 国家电子政务指南一信息安全的编写和公安部相关标准的编写与评审。 虽然我国目前在信息安全评估方面做了相当多的工作，但是由于我国在安全风险评估 的理论和技术上的基础不牢固，又缺乏实践经验，因此还存在较多问题： 风险评估在我国的企业、组织和部门的普及程度较低，许多领导对风险评估的流 程不了解，安全风险防范意识薄弱。 我国的科学研究计划中，有关信息系统安全风险评估的重点科研项目还较少，不 足以支撑进行科学的风险评估理论、方法、技术和工具研究的需要。 目前我国的信息系统安全风险评估还处在仅仅对信息系统的技术进行安全评估， 来掌握和了解具体行业、部门的资产、威胁和风险的阶段。而科学的风险评估不 但需要深化研究信息系统技术存在的风险，还需要推动对不同行业部门的个性化 风险的深化研究，与各个行业的应用、服务、生产的特性密切相关。 我国目前缺乏信息系统安全风险评估的规范化标准，国内的一批提供信息系统安 全评估服务的信息安全企业( 如3 0 盛安、启明星辰、联想、科友、绿盟、思乐等) ， 进行风险评估时，只是参考国际标准( 多数参考b s7 7 9 9 、i s o m c1 7 7 9 9 、 s s e c m m 、a s n z s 4 3 6 0 ，有的仅参考信息安全产品评测标准，如c c 等) ，而缺 乏对我国信息安全风险实际状况的考虑。 风险评估过程